提取 Microsoft Azure 活动日志

本文档介绍了将 Microsoft Azure 活动日志 (AZURE_ACTIVITY) 注入到 Google Security Operations 中所需的步骤。

配置存储账号

完成以下步骤以配置存储账号：

1. 在 Azure 控制台中，搜索存储账号。
2. 点击创建。
3. 选择账号所需的订阅、资源组、区域、性能（建议使用“标准”）和冗余（建议使用 GRS 或 LRS），输入新存储账号的名称。
4. 点击审核 + 创建，查看账号概览，然后点击创建。
5. 在存储账号概览页面上，从窗口左侧导航栏中选择访问密钥。
6. 点击显示密钥，然后记下存储账号的共享密钥。
7. 从窗口的左侧导航栏中选择端点。
8. 记下 Blob 服务端点。(https://<storageaccountname>.blob.core.windows.net/)

配置 Azure 活动日志记录

如需配置 Azure 活动日志记录，请完成以下步骤：

1. 在 Azure 控制台中，搜索监控。
2. 点击页面左侧导航中的活动日志链接。
3. 点击窗口顶部的导出活动日志。
4. 点击添加诊断设置。
5. 选择您要导出到 Google Security Operations 的所有类别。
6. 在目标位置详细信息下，选择归档到存储账号。
7. 选择您在上一步中创建的订阅和存储账号。
8. 点击保存。

在 Google Security Operations 中配置 Feed 以提取 Azure 日志

如需在 Google Security Operations 中配置 Feed 以注入 Azure 日志，请完成以下步骤：

1. 前往 Google Security Operations 设置，然后点击 Feed。
2. 点击新增。
3. 选择 Microsoft Azure Blob 存储作为来源类型。
4. 对于日志类型，选择 Microsoft Azure 活动。
5. 点击下一步。
6. 在 Azure URI 下，输入您之前记录的 Blob Service 端点值，以 insights-activity-logs 为后缀（例如 https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs）
7. 在 URI 来源类型下，选择目录（包括子目录）。
8. 在共享密钥下，输入您之前捕获的共享密钥值。
9. 点击下一步，然后点击完成。